
    <!DOCTYPE html>
    <html lang="zh-CN">
    <head>
      <meta charset="UTF-8">
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>双Token无感刷新 - 学习卡片</title>
      <style>
        body { font-family: sans-serif; background-color: #f0f8ff; color: #333; display: flex; flex-direction: column; align-items: center; padding: 50px 20px; }
        .header h1 { font-size: 32px; }
        .grid-container { display: grid; grid-template-columns: repeat(3, 1fr); gap: 28px; width: 100%; max-width: 1200px; }
        .card-container { perspective: 1200px; cursor: pointer; height: 250px; }
        .card { width: 100%; height: 100%; position: relative; transform-style: preserve-3d; transition: transform 0.7s; border-radius: 16px; box-shadow: 0 4px 16px rgba(0,0,0,0.08); }
        .card-container.flipped .card { transform: rotateY(180deg); }
        .card-face { position: absolute; width: 100%; height: 100%; backface-visibility: hidden; display: flex; flex-direction: column; box-sizing: border-box; border-radius: 16px; background-color: #fff; padding: 24px; }
        .card-back { background-color: #f0fff4; transform: rotateY(180deg); justify-content: space-between; }
        .card-category { font-size: 14px; color: #0052d9; margin-bottom: 8px; font-weight: 500; }
        .card-question { font-size: 20px; font-weight: 500; flex-grow: 1; display: flex; align-items: center; justify-content: center; text-align: center; }
        .card-answer-wrapper { flex-grow: 1; overflow-y: auto; }
        .card-answer { font-size: 15px; line-height: 1.7; }
        .card-footer { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 16px; margin-top: 16px; }
        .card-source { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 12px; margin-top: 12px; }
      </style>
    </head>
    <body>
      <div class="header">
        <h1>双Token无感刷新 - 学习卡片</h1>
      </div>
      <div class="grid-container">
        
    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">理论</div>
          <div class="card-question">在双Token方案中，Access Token和Refresh Token各自扮演什么角色，它们的典型时效有何不同？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">理论</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">Access Token（门票）用于接口访问，具有短时效（例如文档中提到的2小时）。Refresh Token（电子手环）用于续期Access Token，具有长时效（例如文档中提到的7天）。</div>
          </div>
          <div class="card-source">来源: 为什么你的登录方案总被骂？</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">模式</div>
          <div class="card-question">什么是“连环刷新风暴”问题，文档中提出的解决方案是什么？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">模式</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">“连环刷新风暴”指前端同时发起多个请求，每个请求都发现Token过期而去刷新，导致服务端瞬间压力过大。解决方案是使用Redis原子锁来控制刷新频率，确保同一时间只有一个刷新操作在进行。</div>
          </div>
          <div class="card-source">来源: 这些坑你躲得过吗？ -> 1. 连环刷新风暴</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">为了防止Refresh Token被盗用后产生“Token劫持漏洞”，文档中采用了什么安全措施？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">为每个Refresh Token绑定了设备指纹。在刷新时，系统会校验请求中的设备指纹与Token内存储的指纹是否一致，不一致则刷新失败。</div>
          </div>
          <div class="card-source">来源: 这些坑你躲得过吗？ -> 2. Token劫持漏洞</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">机制</div>
          <div class="card-question">请解释“完美方案设计”中提到的“单次有效”和“滑动过期”两个核心机制。</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">机制</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">“单次有效”指旧的Refresh Token在使用过一次后就会立即失效（用完即焚），防止重放攻击。“滑动过期”指每次使用Refresh Token成功刷新后，该Refresh Token自身的有效期也会被重置，延长用户的登录状态。</div>
          </div>
          <div class="card-source">来源: 完美方案设计 -> 六大核心机制</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">请列举至少三种文档中提到的，用于提升双Token方案性能的优化技巧。</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">文档中提到了五大优化技巧，包括：异步刷新、本地缓存、批处理、连接池优化和令牌桶限流。</div>
          </div>
          <div class="card-source">来源: 性能优化</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">特性</div>
          <div class="card-question">根据文档中的压测数据，优化后的双Token方案相比基础版在性能上有哪些具体提升？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">特性</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">优化后的双Token方案QPS从9k提升至28k，平均延时从120ms降低至45ms，CPU使用率从92%降低至65%。</div>
          </div>
          <div class="card-source">来源: 性能优化 -> 压测数据对比</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">实现</div>
          <div class="card-question">在Spring Security整合实战的刷新端点实现中，系统是如何验证刷新请求合法性的？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">实现</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">系统通过解析传入的Refresh Token，并将其中的设备指纹（device claim）与请求头（X-Device-ID）中的设备ID进行比对。只有两者匹配时，才认为请求合法并执行刷新操作。</div>
          </div>
          <div class="card-source">来源: Spring Security整合实战 -> 2. 刷新端点实现</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">安全</div>
          <div class="card-question">为应对高级安全威胁，文档的“终极防御方案”中提出了哪些策略？请列举三项。</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">安全</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">“终极防御方案”提出了多种策略，包括：动态密钥轮转、双向TLS认证、使用硬件安全模块（HSM）、引入行为分析引擎以及实施混沌工程。</div>
          </div>
          <div class="card-source">来源: 你的认证方案能抗住这五招吗？ -> 终极防御方案</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">实现</div>
          <div class="card-question">在Spring Cloud Gateway中，TokenRefreshFilter的核心职责是什么？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">实现</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">它的核心职责是：1. 检查Access Token是否过期；2. 如果过期，则调用认证服务进行刷新；3. 将新的Token写入响应头；4. 使用新Token重试原始的请求。</div>
          </div>
          <div class="card-source">来源: Spring Security整合实战 -> 3. 网关过滤器（Spring Cloud Gateway）</div>
        </div>
      </div>
    </div>

      </div>
    </body>
    </html>
